۱۰ نکتهٔ کلیدی برای حفظ امنیت در وردپرس

۱۰ نکتهٔ کلیدی برای حفظ امنیت در وردپرس

حفظ امنیت در وردپرس چقدر ضرورت دارد؟ ایمن نگه داشتن سیستم مدیریت محتوای وردپرس بسیار حائز اهمیت است چرا که شما باید اطمینان حاصل کنید که سایتتان در معرض خطر نیست، اطلاعاتتان در جای امنی قرار دارد و سایت شما تا حد ممکن با سرعت اجرا می شود و قابل اعتماد است. در این مقاله با ده روش حفظ امنیت در این سیستم مدیریت محتوای پرطرفدار آشنا می شویم. ابتدا از موارد ساده تر شروع می کنیم و سپس نکات پیشرفته تر را ذکر می کنیم. به کمک این نکات می توانید امنیت سایت وردپرستان را تا حد زیادی بهبود ببخشید. با سکان آکادمی همراه باشید.

پیش از هر چیز در پاسخ به این سوال که از میان سیستم های مدیریت محتوای جوملا، وردپرس و دروپال چرا در این مقاله به تحلیل مسائل امنیتی در سی ام اس وردپرس پرداختیم بایستی بگوییم که نه تنها در دنیا، بلکه در ایران نیز وردپرس پرطرفدارترین سیستم مدیریت محتوا در میان کاربران به خصوص وب مسترها است.

امنیت کاربری
یکی از بخش کلیدی که هکرها تلاش می کنند به آن دسترسی پیدا کنند، ادمین پنل وردپرس است. اگر یک کاربر مشکوک و بدخواه این امکان را داشته باشد تا با عنوان مدیر (admin) وارد سایت شود، به تمامی قسمت های پیشخوان مدیریت سایت دسترسی خواهد داشت. عده ای از کاربران ممکن است از طریق یک بات ‌نت‌ -botnet مجموعه ای از کامپیوترهایی که هکر آن ها را کنترل می کنند است- تلاش کنند تا به طور مکرر با استفاده از ترکیب یوزرنیم و پسورد های گوناگون وارد سایت شوند. با استفاده از این چند نکته می توانید امنیت رابط مدیریت وردپرس را بهبود ببخشید:

1- از نام کاربری و رمز عبور منحصر به فرد و ایمن، استفاده کنید.
از نام کاربری پیش فرض admin هرگز استفاده نکنید چرا که می توانید نام کاربری اختصاصی خود را داشته باشید. اگر از ورژن های قدیمی تر استفاده می کنید و یا در گذشته نام کاربری را ادمین انتخاب کرده اید، می توانید با استفاده از پلاگین های وردپرس مانند Username Changer، نام کاربری خود را به یک یوزرنیم امن تر تغییر دهید. همچنین می توانید یک حساب کاربری دیگر با دسترسی های مدیر ایجاد کنید و نام کاربری ادمین قبلی را حذف کنید. توجه داشته باشید که از به کار بردن سایر یوزرنیم های مشابه و یا قابل حدس مثل administrator، نام سایت یا نام خودتان نیز اجتناب کنید.

اما در مورد انتخاب رمز عبور، بهتر است که از پسوردی متشکل از اعداد، حروف و کاراکترهای گوناگون استفاده کنید. از انتخاب رمزعبوری مشابه نام کاربری، نام سایت یا نام خودتان و یا کلماتی ساده با تعداد حروف کم، اجتناب کنید. سعی کنید از کلمات فرهنگ لغت استفاده نکنید و ترکیبی از کاراکترها را به صورت اتفاقی به عنوان رمز عبور انتخاب کنید. همچنین با استفاده از یک ابزار مدیریت پس ورد می توانید رمز عبورهایی ایمن و پیچیده انتخاب کنید و آنها را امن نگه دارید.

2- استفاده از فناوری احراز هویت دو مرحله ای
احراز هویت دو مرحله ای (Two-factor authentication) که به اختصار 2FA نیز نامیده می شود، برای ورود به سایت از یک کاربر علاوه بر نام کاربری و رمز ورود، کدی منحصر به فرد را درخواست می کند که این کد تنها برای یک بار استفاده تولید شده و به یک دیوایس -معمولاً یک گوشی هوشمند- از طریق اس ام اس یا یک اپلیکیشن آندروید یا iOS ارسال می شود.

3- هویت کاربر را بررسی کنید.
فرم های reCAPTCHA که از کاربر درخواست می کند تا نوشته ای که در تصویر می بینند را ارسال کنند، یک روش بسیار مفید برای پیشگیری از حملات Brute-force بات نت ها برای ورود به سایت وردپرس است. بات نت ها معمولاً نمی توانند به طور خودکار این قسمت از مرحله ی ورود به سایت را انجام دهند بنابراین از دسترسی آن ها به سایت جلوگیری می شود.

4- حفاظت از پسورد با wp-login.php
اگر توسعه دهنده یا کاربر پیشرفته ی وردپرس هستید و با تغییرات سمت سرور (Server-side) مشکلی ندارید، می توانید درخواست لاگین سمت سرور کنید قبل از این که صفحه ی ادمین پنل وردپرس نمایش داده شود.

امنیت کدها
فرقی نمی کند که خودتان در حال توسعه ی پوسته یا پلاگین برای وردپرس باشید یا از تم و پلاگین های آماده استفاده کنید، تحت هر شرایطی باید مراقب امنیت کدها باشید تا راه را برای ورود هکر ها باز نکنید. کدهای نا امن موجب می شوند که هکرها به تمام یا بخشی از سایت وردپرستان دسترسی پیدا کنند. با استفاده از این چند نکته می توانید درباره ی درستی و امنیت کدها اطمینان حاصل کنید:

5- وردپرس را آپدیت نگه دارید.
از WordPress 3.7، نسخه های جزئی که شامل موارد امنیتی و نگه داری هستند به طور خودکار اعمال می شوند. با این حال شما می توانید با افزودن کد زیر به فایل wp-config.php، قابلیت آپدیت خودکار نسخه های کلی را به وردپرس اضافه کنید:

define( 'WP_AUTO_UPDATE_CORE', true );

گرچه این کار راه حل و ایده ی خوبی به نظر می رسد اما ممکن است شما را با مشکلاتی مانند ناسازگاری قالب ها یا پلاگین هایی که پیش از این استفاده می کردید با ورژن جدید وردپرس مواجه کند. بهتر است همیشه محیطی برای تست و بررسی چنین مواردی در اختیار داشته باشید.

ابزارهایی نیز وجود دارند که به سایت وردپرس شما متصل می شوند و به شما این امکان را می دهند تا نصب ورژن های مختلف وردپرس را از طریق یک رابط کاربری مدیریت کنید و به روز رسانی قالب ها، پلاگین ها و ورژن های مختلف را تنها با یک کلیک انجام دهید که از آن جمله می توان به iThemes Sync که برای ده سایت رایگان است و  ManageWP که برای پنج سایت رایگان است اشاره کرد.

6- دقت در انتخاب قالب ها و پلاگین ها
قالب ها و افزونه هایی را انتخاب کنید که به طور مرتب به روزرسانی می شوند. گرچه این امنیت سایت شما را تضمین نمی کند اما به شما این اطمینان را می دهد که در صورت وجود آسیب پذیری امنیتی در یک قالب یا افزونه، به سرعت به روز رسانی و اصلاح می شود.

همچنین به توضیحات پلاگین انتخابی خود دقت کنید چرا که بعضی از آنها توسط یک عامل سوم به لحاظ امنیتی بررسی می شوند که این امر موجب امنیت خاطر شما خواهد شد.

7- توسعه ی قالب ها و افزونه ها
فرقی نمی کند که در استفاده از وردپرس تازه کار باشید یا مدت زیادی است که به توسعه ی پلاگین ها و قالب های آن مشغول هستید، به هر حال بهتر است که از شیوه های کلیدی حفظ امنیت وردپرس استفاده کنید.

امنیت میزبانی
به غیر از نصب ایمن وردپرس و بهبود مرحله ی احراز هویت کاربر و نیز اطمینان حاصل کردن از کیفیت و امنیت کدها، یکی دیگر از موارد مهمی که باید به آن توجه کنید، استفاده از یک میزبانی امن و پشتیبانی شده است.

8- از میزبانی وب مدیریت شده استفاده کنید.
شرکت های متعددی وجود دارند که میزبانی مدیریت شده ی وردپرس را در اختیار شما قرار می دهند مانند شرکت پارس پک که می توانید از خدمات رایانش ابری این شرکت هم به صورت رایگان و هم به صورت غیر رایگان بهره مند گردید.

9- اجازه ی دسترسی به فایل ها و فولدر ها را بررسی کنید.
اگر از یک میزبانی حرفه ای سایت استفاده کنید، ضروری است که از درستی مالکیت و پرمیشن فایل ها و پوشه های وردپرس، اطمینان حاصل کنید. این کار نه تنها به وردپرس این امکان را می دهد تا به طور خودکار به روزرسانی شود، بلکه از حمله و سوء استفاده ی هکرها از فایل هایی که از امنیت بالایی برخوردار نیستند، جلوگیری به عمل می آورد.

پوشه های وردپرس باید دارای پرمیشن 755 و فایل های وردپرس باید دارای پرمیشن 644 باشند که این از یک هاست به هاست دیگر متفاوت است.

اگر به هنگام نصب افزونه ها یا آپلود یک فایل، با پیغام خطا مواجه می شوید، هرگز مجوز دسترسی به هیچ پوشه ای را به 777 تغییر ندهید. به جای آن اطمینان حاصل کنید که PHP با کاربر صحیح در حال اجراست و پوشه ها به همان کاربر تعلق دارند. اگر دارای دسترسی Shell هستید می توانید با اجرای این دستورها از امنیت وردپرس اطمینان حاصل کنید:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

اگر کاربر و گروهی که باید مالکیت فایل ها و پوشه های وردپرس را داشته باشند می شناسید از این دستور استفاده کنید:

sudo chown -R username:group /path/to/your/wordpress/install

10- ایمن سازی سمت سرور (Server Side Hardening)
اگر از کاربران پیشرفته ی وردپرس هستید و میزبانی وب را خودتان مدیریت می کنید، می توانید از این روش ها برای حفظ امنیت، استفاده کنید:

- اطمینان پیدا کنید که کاربر پایگاه داده ی شما تنها به این امتیازات دسترسی دارد: SELECT، INSERT، UPDATE و DELETE.

- برای پایگاه داده از نام کاربری و رمز عبور قوی استفاده کنید.

- با اضافه کردن کد زیر به فایل wp-config.php اجازه ی ویرایش فایل سمت سرور در وردپرس را لغو کنید:

define('DISALLOW_FILE_EDIT', true);

نتیجه گیری
در این مقاله با ده نکته درباره ی روش های حفظ امنیت در وردپرس از تشخیص هویت کاربر تا روش هایی با استفاده از کدنویسی و تنظیمات مرتبط با میزبانی آشنا شدیم. برخی از تکنیک های ایمن سازی پیشرفته را نیز برای کاربران باتجربه تر مطرح کردیم. یکی دیگر از انتخاب هایی که برای حفظ امنیت وردپرس پیش روی شماست، استفاده از پلاگین های امنیتی نظیر WordFence یا BulletProof Security است. پلاگین های متعددی وجود دارند که هر کدام نقاط قوت و ضعف خود را دارند. پس قبل از انتخاب تحقیق کنید تا پلاگینی را که پاسخگوی نیازهای شما است بیابید.

همواره به یاد داشته باشید که پیشگیری بهتر از درمان است. یک اشتباه کوچک کافی است تا اطلاعاتتان را با نصب یک نسخه ی هک شده از دست بدهید. بنابراین نصب یک سرویس پشتیبان گیری از وردپرس مانند VaultPress و BackupBuddy ضروری است. به این ترتیب در صورت دریافت پیغام خطا یا مورد حمله واقع شدن، می توانید اطلاعاتتان را بازیابی نمایید.

منبع